@article{oai:ipsj.ixsq.nii.ac.jp:00067265,
 author = {嶋村, 誠 and 河野, 健二 and Makoto, Shimamura and Kenji, Kono},
 issue = {4},
 journal = {情報処理学会論文誌コンピューティングシステム（ACS）},
 month = {Dec},
 note = {遠隔から攻撃コードをネットワークを介して挿入するリモートコードインジェクション攻撃はセキュリティ上の大きな問題の 1 つである．これに対し，攻撃コードを検知・解析するシステムとして，ネットワーク・コードエミュレータが提案されている．ネットワーク・コードエミュレータでは攻撃コードの疑似実行を行うことにより，攻撃コードを精度良く検知したり，攻撃コードの振舞いを詳細に解析したりできる．また，攻撃コードを実行して解析を行うため，暗号化や難読化を施された攻撃コードにも耐性がある．本論文では，被害プロセスのメモリ上のデータを攻撃コードの一部として利用するメモリスキャン攻撃を用いると既存のネットワーク・コードエミュレータによる解析を妨害できることを示し，メモリスキャン攻撃も解析できるネットワーク・コードエミュレータである Yataglass+ を提案する．実際に Yataglass+ のプロトタイプを作成し，実際の攻撃コードにメモリスキャン攻撃を適用し実験を行った結果，Yataglass+ は正しくメモリスキャン攻撃を適用した攻撃コードを解析できた．, Remote code-injection attacks are one of the most serious problems in computer security because they allow attackers to insert arbitrary code. To detect and analyze injected code (often called shellcode), some researchers have proposed network-level code emulators. A network-level code emulator emulates shellcode's behaviors and thus can detect shellcode accurately and help analysts understand the behaviors. Since it interprets shellcode, it is robust to encryption and obfuscation. We demonstrate that memory-scanning attacks, which use data on the victim process, can evade current network-level code emulators, and propose Yataglass+, an elaborated network-level code emulator, that enables us to analyze shellcode that incorporates memory-scanning attacks. Experimental results show that Yataglass+ successfully analyzes real shellcode into which we had manually incorporated memory-scanning attacks.},
 pages = {48--63},
 title = {Yataglass+：メモリスキャン攻撃を組み込んだ攻撃コードの振舞い解析},
 volume = {2},
 year = {2009}
}